Когда взламывают не ваш код, а ваш инструмент безопасности: история Trivy 🔐 Мы, как и многие другие производители ПО, используем Trivy. Это opensource-инструмент для обнаружения уязвимых компонентов - эффективный и универсальный, как армейский нож. Промышленный стандарт, практически синоним самого понятия "композиционный анализ". И вот его взломали. Под угрозой оказался сам инструмент защиты от угроз. Один из важных этапов в процессе безопасной разработки ПО — проверка кода на наличие известных уязвимостей для их своевременного устранения. И здесь на помощь разработчикам приходят сканеры кода. Один из них — Trivy. Trivy — популярный сканер уязвимостей в контейнерах и зависимостях, который многие считают «обязательной частью» DevSecOps‑пайплайна. В начале марта он сам оказался в центре инцидента безопасности. Что произошло ⚠️ Через уязимый GitHub Actions и украденный токен атакующий получил доступ к репозиторию Trivy. Были удалены релизы в диапазоне 0.27.0–0.69.1, а в Open VSX появилась поддельная версия расширения Trivy для VS Code. Вредоносное расширение не ломало Trivy, а пыталось использовать установленные на машине AI‑ассистенты разработчика для скрытого доступа к данным. Команда Aqua Security быстро отозвала токены, убрала вредоносное расширение и восстановила релизы, выпустив чистую версию. Пострадали те, кто успел обновиться в этот короткий промежуток. Почему это важно не только DevSecOps‑инженерам 💡 Атакуют не только приложения, но и сами инструменты безопасности. Их CI/CD, токены и плагины IDE — такой же вектор атаки, как боевые сервисы. В кейсе Trivy злоумышленник опирался на доверенные AI‑инструменты разработчика, а не на классический «вирус». Автообновления — не всегда благо. Для критичных инструментов всё чаще вводят «период охлаждения»: не ставить свежий релиз в первый же день, а дождаться реакции сообщества и вендора. Наш взгляд и практики 🧩 В своих продуктах и процессах мы исходим из простого принципа: инструменты безопасности должны быть защищены не меньше, чем код, который они проверяют. Поэтому мы: ✅ ограничиваем и зонируем токены в CI/CD, регулярно пересматриваем их права; ✅ фиксируем версии ключевых security‑инструментов ✅ обновляем их по контролируемому графику, а не «всегда latest»; ✅ внимательно относимся к расширениям IDE. История Trivy — хороший повод спросить себя: что будет, если завтра скомпрометируют один из наших инструментов безопасности? #getmobit #DevSecOps #Trivy #безопаснаяразработка #supplychainsecurity #OpenSource #CI_CD #AIsecurity